¿Están de acuerdo todos los miembros de la Unión Europea en la cuantía de las multas impuestas a las empresas que incumplan el Reglamento General de Protección de Datos (RGPD)?
El Comisario de Protección de Datos de un Estado miembro parece pensar que las multas actuales deberían acercarse más a los límites máximos de las multas previstas en el artículo 83 del RGPD.
La asociación alemana de autoridades de control de la protección de datos (Datenschutzkonferenz o DSK) ha publicado nuevas directrices para determinar las multas por infracción del RGPD.
Si se adopta, el nuevo modelo podría dar lugar a multas más elevadas en virtud del RGPD, pudiendo llegar a los límites máximos de multa según el artículo 83 del RGPD.
Varias autoridades alemanas ya han empezado a aplicar este nuevo modelo en la práctica. Por ejemplo, la comisaria de protección de datos de Berlín ha anunciado sus planes de imponer multas multimillonarias basadas en este modelo. De hecho, ya se están tramitando los primeros casos de defensa de clientes contra multas calculadas según la nueva metodología.
Por lo tanto, es posible que el Consejo Europeo de Protección de Datos intente aplicar un modelo de multa unificado en toda la UE, basado en la nueva metodología que actualmente aplican las autoridades alemanas.
¿Cómo funciona en la práctica el nuevo cálculo de la multa?
Se recomienda encarecidamente utilizar una calculadora para esta sección, ya que el nuevo modelo de DSK no es nada sencillo.
El cálculo de la multa, junto con toda la documentación asociada, ocupa unas 24 páginas.
El cálculo comienza con los ingresos globales anuales de la empresa. Sobre la base de esta cifra, se calcula una "tasa diaria" y se multiplica por una serie de factores numéricos en función de los diferentes criterios de sanción según el artículo 83 (2) del RGPD. Por ejemplo, la gravedad percibida de la infracción, la culpabilidad de la organización, el alcance del daño potencial causado a las personas, etc.
Ahora, para algunos, esto podría parecer un punto de partida bastante sencillo. Pero hay moiré, como explicamos en los siguientes cinco pasos:
PASO 1 ~ Cálculo de la "tasa diaria"
En primer lugar, como ya se ha mencionado brevemente, las autoridades deben calcular la "tasa diaria" dividiendo el volumen de negocios global agregado de la empresa durante el año anterior por 360 días.
En el caso de los grupos de empresas, el cálculo no se basa en el volumen de negocios de la empresa individual, sino en los ingresos de todo el grupo.
En su documento de orientación, la DSK afirma que "las empresas matrices y las filiales se consideran una unidad económica, de modo que el volumen de negocios total del grupo de empresas se toma como base para el cálculo de la multa". Sin embargo, aún no está clara la posición que adoptarán los tribunales sobre esta cuestión, a la luz del enfoque de la DSK.
Ejemplo: Un grupo de empresas generó unas ventas de 90.000 millones de euros en el año anterior. Esto supone una "tasa diaria" de 250 millones de euros (90.000 millones de euros divididos por 360).
PASO 2 ~ Determinación de los "corredores finos regulares" y del valor medio
A continuación, se evalúa la gravedad percibida de la infracción específica. Esta evaluación de la gravedad parece basarse en una evaluación global llevada a cabo por la autoridad, teniendo en cuenta las disposiciones del RGPD violadas y los límites máximos de las multas establecidos en el artículo 83(4)-(6) del RGPD.
Existe un margen de discrecionalidad concedido a las autoridades, para considerar el nivel de daño a las personas (no se pueden superar los límites máximos de las multas del RGPD). El modelo DSK establece cinco niveles de gravedad:
-
Infracción leve: multiplicador de 1 a 4
-
Infracción media: multiplicador de 4 a 8
-
Infracción grave: multiplicador de 8 a 12
-
Infracción muy grave: multiplicador de 12 a 14,4
El resultado de la evaluación de la gravedad es la determinación de la "Corredera de Multas Regular" multiplicando la "tasa diaria" por el rango multiplicador asociado al nivel de gravedad correspondiente.
A continuación, la autoridad calcula el valor medio de la "banda de multas" resultante. Esto se convierte en la base para el cálculo posterior de la multa.
Ejemplo: En el caso de la empresa mencionada en el ejemplo anterior, con un volumen de negocios anual de 90.000 millones de euros y una "tasa diaria" de 250 millones de euros, las autoridades constatan una infracción leve, es decir, la categoría menos grave, con un rango multiplicador asociado de uno a cuatro. La autoridad multiplica entonces la "tasa diaria" de 250 millones de euros por el rango de multiplicadores de uno a cuatro. El resultado es una banda de multas regulares de 250 millones de euros a 1.000 millones de euros y, por tanto, un valor medio de 625 millones de euros.
PASO 3 ~ Clasificar la infracción específica del GDPR
A continuación, se modificaría la multa para tener en cuenta la naturaleza de la infracción y sus consecuencias de acuerdo con los siguientes criterios:
-
Duración de la infracción
-
Naturaleza, alcance y finalidad del tratamiento ilícito
-
Número de interesados que participan en el tratamiento
-
Alcance del perjuicio sufrido por los interesados
A continuación, la autoridad asigna una puntuación de 0 a 4 a cada uno de estos criterios y calcula el total de esos valores. Se otorgan puntuaciones de 0 y 1 a los factores atenuantes del riesgo (un número reducido de personas afectadas, un daño nulo o mínimo, o una duración breve del tratamiento ilegal de datos, etc.); puntuaciones de 2 si no hay factores atenuantes ni agravantes; y puntuaciones de 3 o 4 si hay factores agravantes (por ejemplo, la infracción se llevó a cabo durante un largo periodo de tiempo).
La suma de estas puntuaciones produce un número total entre 0 y 16. Este valor se introduce en una larga y compleja tabla (que aún no se ha hecho pública) para determinar si debe aplicarse un multiplicador adicional, para aumentar o disminuir el valor de la mediana ya determinado en el paso de cálculo anterior.
Ejemplo: Siguiendo con la empresa de los ejemplos anteriores, si la autoridad evalúa los cuatro criterios mencionados en este paso como "iguales", otorgará la puntuación de 2 a cada uno de los cuatro criterios (es decir, cuatro veces). Con una puntuación total de 8, no se aplican multiplicadores adicionales. Por lo tanto, no se produce ni un aumento ni una disminución del valor mediano ya calculado. En nuestro ejemplo, el valor mediano de 625 millones de euros, por tanto, sigue siendo el mismo a efectos de cálculos posteriores.
PASO 4 ~ Consideración adicional de la multa
La autoridad debe determinar ahora cualquier otro criterio pertinente para evaluar la multa, de conformidad con el artículo 83, apartado 2, del RGPD. Esto se refiere a la culpabilidad, es decir:
-
intención o negligencia;
-
inicio de medidas para mitigar los daños;
-
el grado de responsabilidad;
-
la existencia de infracciones anteriores relevantes;
-
cooperación con la autoridad supervisora;
-
las categorías de datos personales tratados en el ámbito de la infracción;
-
el tipo de divulgación de la infracción;
-
el cumplimiento de cualquier medida previamente ordenada por la autoridad; y si es aplicable,
-
el cumplimiento de las normas de procedimiento o certificaciones aprobadas.
PASO 5 ~ Consideración final de la multa
Como último paso, la autoridad examinará si existen otras circunstancias atenuantes que puedan sugerir un nuevo ajuste de la multa determinada hasta ahora.
Parece que no hay ninguna fórmula para este ajuste adicional, por lo que las autoridades pueden ejercer un grado significativo de discreción en este paso, en la medida necesaria. También habría un ajuste para ser coherente con las multas máximas exigidas por el RGPD.
Conclusión:
La experiencia práctica inicial muestra que la aplicación del modelo DSK conduciría a multas significativamente más altas que las impuestas hasta ahora por las autoridades alemanas desde la entrada en vigor del GDPR. El método de cálculo, en gran medida lineal, que parte de los ingresos, conlleva graves riesgos de sanción, especialmente para las empresas y grupos con un elevado volumen de negocio.
Cabe preguntarse si las sanciones impuestas con arreglo al modelo de multa de DSK tienen debidamente en cuenta las cuestiones exigidas por el artículo 83 del RGPD y/o pueden garantizar adecuadamente que las multas sean de hecho proporcionadas.
El modelo DSK, si se adopta y se aplica, sería sin duda susceptible de ser impugnado, y podría ser difícil para las autoridades de protección de datos convencer a los tribunales en los procedimientos de infracción administrativa de que, de hecho, han determinado las multas apropiadas y legales utilizándolo. En particular, los grandes grupos corporativos y las empresas que procesan grandes volúmenes de datos, o datos sensibles o de alto riesgo, deberían prepararse para una emergencia, y planificar una defensa eficaz en los litigios por adelantado.
Fuente: IAPP